Splunk コネクタ構成ガイド
この記事では、Splunk コネクタの構成方法について説明します。
構成
コネクタマーケットプレイスにアクセスし、新しいコネクタを追加します。コネクタを追加する一般的な手順については、コネクタについてを参照してください。
コネクタを追加した後、以下の構成を構成します:
- Splunk トークン
- HTTPイベントコレクタートークン。構成 > データ入力 > HTTPイベントコレクターでトークンを作成します。
- ホスト
- HTTPイベントコレクターを実行しているSplunkインスタンス。例:
https://hec.example.com。
- HTTPイベントコレクターを実行しているSplunkインスタンス。例:
- ポート
- (オプション)HTTPイベントコレクターのポート番号。
アクション
| アクション名 | AudienceStream | EventStream |
|---|---|---|
| 全イベントデータ送信 | ✗ | ✓ |
| 全イベントデータ送信(バッチ) | ✗ | ✓ |
| カスタムイベントデータ送信 | ✗ | ✓ |
| カスタムイベントデータ送信(バッチ) | ✗ | ✓ |
| ログイベント送信 | ✗ | ✓ |
| 全訪問データ送信 | ✓ | ✗ |
| 全訪問データ送信(バッチ) | ✓ | ✗ |
| カスタム訪問データ送信 | ✓ | ✗ |
| カスタム訪問データ送信(バッチ) | ✓ | ✗ |
アクションの名前を入力し、アクションタイプを選択します。
次のセクションでは、各アクションのパラメータとオプションの構成方法について説明します。
全イベントデータ送信
メタデータ
| パラメータ | 説明 |
|---|---|
| Splunk リクエストチャネル | インデクサーの確認が有効になっている場合のチャネル識別子。 |
| 時間 | イベントの時間。 |
| ホスト | イベントデータに割り当てるホスト値。 |
| ソース | イベントデータに割り当てるソース値。例えば、開発中のアプリからデータを送信する場合、このキーをアプリの名前に構成します。 |
| ソースタイプ | イベントデータに割り当てるソースタイプ値。 |
| インデックス | イベントデータをインデックスするために使用するインデックスの名前。ここで指定するインデックスは、トークンにインデックスパラメータが構成されている場合、許可されたインデックスのリストに含まれている必要があります。 |
| カスタムフィールド | フィールドキーは生データには適用されません。このキーは、インデックス時に定義される明示的なカスタムフィールドのフラット(ネストされていない)リストを含むJSONオブジェクトを指定します。fieldsプロパティを含むリクエストは、/collector/eventエンドポイントに送信されなければインデックスされません。詳細については、Splunk Enterprise: HTTPイベントコレクターを使用してインデックスされたフィールド抽出を自動化するを参照してください。 |
| 属性名の印刷 | 属性名が更新されると、ペイロード内の名前が更新を反映します。 |
全イベントデータ送信(バッチ)
バッチ制限
このアクションは、バッチリクエストを使用してベンダーへの大量データ転送をサポートします。次のいずれかの閾値に達するまでリクエストがキューに入れられます:
- 最大リクエスト数:100,000
- 最古のリクエストからの最大時間:60分
- リクエストの最大サイズ:10 MB
メタデータ
| パラメータ | 説明 |
|---|---|
| Splunk リクエストチャネル | インデクサーの確認が有効になっている場合のチャネル識別子。 |
| 時間 | イベントの時間。 |
| ホスト | イベントデータに割り当てるホスト値。 |
| ソース | イベントデータに割り当てるソース値。例えば、開発中のアプリからデータを送信する場合、このキーをアプリの名前に構成します。 |
| ソースタイプ | イベントデータに割り当てるソースタイプ値。 |
| インデックス | イベントデータをインデックスするために使用するインデックスの名前。ここで指定するインデックスは、トークンにインデックスパラメータが構成されている場合、許可されたインデックスのリストに含まれている必要があります。 |
| カスタムフィールド | フィールドキーは生データには適用されません。このキーは、インデックス時に定義される明示的なカスタムフィールドのフラット(ネストされていない)リストを含むJSONオブジェクトを指定します。fieldsプロパティを含むリクエストは、/collector/eventエンドポイントに送信されなければインデックスされません。詳細については、Splunk Enterprise: HTTPイベントコレクターを使用してインデックスされたフィールド抽出を自動化するを参照してください。 |
| 属性名の印刷 | 属性名が更新されると、ペイロード内の名前が更新を反映します。 |
| バッチの有効期限 | バッチアクションが送信される頻度を指定するために、有効期限(TTL)を構成します。1から60分の間で値を入力します。デフォルトは15分です。 |
カスタムイベントデータ送信
メタデータ
| パラメータ | 説明 |
|---|---|
| Splunk リクエストチャネル | インデクサーの確認が有効になっている場合のチャネル識別子。 |
| 時間 | イベントの時間。 |
| ホスト | イベントデータに割り当てるホスト値。 |
| ソース | イベントデータに割り当てるソース値。例えば、開発中のアプリからデータを送信する場合、このキーをアプリの名前に構成します。 |
| ソースタイプ | イベントデータに割り当てるソースタイプ値。 |
| インデックス | イベントデータをインデックスするために使用するインデックスの名前。ここで指定するインデックスは、トークンにインデックスパラメータが構成されている場合、許可されたインデックスのリストに含まれている必要があります。 |
| カスタムフィールド | フィールドキーは生データには適用されません。このキーは、インデックス時に定義される明示的なカスタムフィールドのフラット(ネストされていない)リストを含むJSONオブジェクトを指定します。fieldsプロパティを含むリクエストは、/collector/eventエンドポイントに送信されなければインデックスされません。詳細については、Splunk Enterprise: HTTPイベントコレクターを使用してインデックスされたフィールド抽出を自動化するを参照してください。 |
メッセージデータ
| パラメータ | 説明 |
|---|---|
| カスタムメッセージ定義 | メッセージデータを構築するための値を提供します。テンプレートサポートの場合、テンプレート名を参照してテンプレートからメッセージデータを生成します。テンプレートを使用する場合、カスタムメッセージ定義にマップします。テンプレートが使用される場合、他のキー値ペアは無視されます。 |
| テンプレート変数 | テンプレートのデータ入力としてテンプレート変数を提供します。詳細については、コネクターテンプレート変数を参照してください。例えば、items.nameのようにドット表記でネストされたテンプレート変数を名前付けします。ネストされたテンプレート変数は通常、データレイヤーリスト属性から構築されます。 |
| テンプレート | メッセージデータで参照されるテンプレートを提供します。詳細については、テンプレートガイドを参照してください。 テンプレートは、サポートされているフィールドに名前で二重中括弧で挿入されます。例: {{SomeTemplateName}}。 |
カスタムイベントデータ送信(バッチ)
バッチ制限
このアクションは、バッチリクエストを使用してベンダーへの大量データ転送をサポートします。次のいずれかの閾値に達するまでリクエストがキューに入れられます:
- 最大リクエスト数:100,000
- 最古のリクエストからの最大時間:60分
- リクエストの最大サイズ:10 MB
メタデータ
| パラメータ | 説明 |
|---|---|
| Splunk リクエストチャネル | インデクサーの確認が有効になっている場合のチャネル識別子。 |
| 時間 | イベントの時間。 |
| ホスト | イベントデータに割り当てるホスト値。 |
| ソース | イベントデータに割り当てるソース値。例えば、開発中のアプリからデータを送信する場合、このキーをアプリの名前に構成します。 |
| ソースタイプ | イベントデータに割り当てるソースタイプ値。 |
| インデックス | イベントデータをインデックスするために使用されるインデックスの名前。ここで指定するインデックスは、トークンにインデックスパラメータが構成されている場合、許可されたインデックスのリストに含まれている必要があります。 |
| カスタムフィールド | フィールドキーは生データには適用されません。このキーは、インデックス時に定義される明示的なカスタムフィールドのフラット(ネストされていない)リストを含む JSON オブジェクトを指定します。fields プロパティを含むリクエストは /collector/event エンドポイントに送信されなければインデックスされません。詳細については、Splunk Enterprise: HTTP イベントコレクターを使用したインデックス化されたフィールド抽出の自動化を参照してください。 |
メッセージデータ
| パラメータ | 説明 |
|---|---|
| カスタムメッセージ定義 | メッセージデータを構築するための値を提供します。テンプレートサポートのために、テンプレート名を参照してメッセージデータを生成します。テンプレートを使用する場合は、カスタムメッセージ定義にマッピングします。テンプレートが使用される場合、他のキーバリューペアは無視されます。 |
| テンプレート変数 | テンプレートのデータ入力としてテンプレート変数を提供します。詳細については、コネクターテンプレート変数 を参照してください。例えば、items.name のようにドット表記でネストされたテンプレート変数を名付けます。ネストされたテンプレート変数は通常、データレイヤーリスト属性から構築されます。 |
| テンプレート | メッセージデータで参照されるテンプレートを提供します。詳細については、テンプレートガイドを参照してください。 テンプレートは、サポートされるフィールドに名前で二重中括弧で注入されます。例: {{SomeTemplateName}}。 |
| バッチの有効期限 | バッチアクションが送信される頻度を指定するための有効期限(TTL)を構成します。1から60分の間で値を入力します。デフォルトは15分です。 |
ログイベントの送信
メタデータ
| パラメータ | 説明 |
|---|---|
| Splunk リクエストチャネル | インデクサーの確認が有効になっている場合のチャネル識別子。 |
| 時間 | イベントの時間。 |
| ホスト | イベントデータに割り当てるホスト値。 |
| ソース | イベントデータに割り当てるソース値。例えば、開発中のアプリからデータを送信する場合、このキーをアプリの名前に構成します。 |
| ソースタイプ | イベントデータに割り当てるソースタイプ値。 |
| インデックス | イベントデータをインデックスするために使用されるインデックスの名前。ここで指定するインデックスは、トークンにインデックスパラメータが構成されている場合、許可されたインデックスのリストに含まれている必要があります。 |
| カスタムフィールド | フィールドキーは生データには適用されません。このキーは、インデックス時に定義される明示的なカスタムフィールドのフラット(ネストされていない)リストを含む JSON オブジェクトを指定します。fields プロパティを含むリクエストは /collector/event エンドポイントに送信されなければインデックスされません。詳細については、Splunk Enterprise: HTTP イベントコレクターを使用したインデックス化されたフィールド抽出の自動化を参照してください。 |
訪問データ全体の送信
メタデータ
| パラメータ | 説明 |
|---|---|
| Splunk リクエストチャネル | インデクサーの確認が有効になっている場合のチャネル識別子。 |
| 時間 | イベントの時間。 |
| ホスト | イベントデータに割り当てるホスト値。 |
| ソース | イベントデータに割り当てるソース値。例えば、開発中のアプリからデータを送信する場合、このキーをアプリの名前に構成します。 |
| ソースタイプ | イベントデータに割り当てるソースタイプ値。 |
| インデックス | イベントデータをインデックスするために使用されるインデックスの名前。ここで指定するインデックスは、トークンにインデックスパラメータが構成されている場合、許可されたインデックスのリストに含まれている必要があります。 |
| カスタムフィールド | フィールドキーは生データには適用されません。このキーは、インデックス時に定義される明示的なカスタムフィールドのフラット(ネストされていない)リストを含む JSON オブジェクトを指定します。fields プロパティを含むリクエストは /collector/event エンドポイントに送信されなければインデックスされません。詳細については、Splunk Enterprise: HTTP イベントコレクターを使用したインデックス化されたフィールド抽出の自動化を参照してください。 |
| 現在の訪問データを訪問データに含める | ペイロードに現在の訪問データを追加します。これには、現在の訪問イベントデータが除外されていない限り、イベント訪問データが含まれます。 |
| 現在の訪問イベントデータを除外 | 現在の訪問データからイベントデータを除外します。 |
| 属性名を印刷 | 属性名が更新された場合、ペイロード内の名前が更新を反映します。 |
訪問データ全体のバッチ送信
バッチ制限
このアクションは、ベンダーへの大量データ転送をサポートするためにバッチリクエストを使用します。次のいずれかの閾値が満たされるまでリクエストはキューに入れられます:
- 最大リクエスト数:100,000
- 最古のリクエストからの最大時間:60分
- リクエストの最大サイズ:10 MB
メタデータ
| パラメータ | 説明 |
|---|---|
| Splunk リクエストチャネル | インデクサーの確認が有効になっている場合のチャネル識別子。 |
| 時間 | イベントの時間。 |
| ホスト | イベントデータに割り当てるホスト値。 |
| ソース | イベントデータに割り当てるソース値。例えば、開発中のアプリからデータを送信する場合、このキーをアプリの名前に構成します。 |
| ソースタイプ | イベントデータに割り当てるソースタイプ値。 |
| インデックス | イベントデータをインデックスするために使用されるインデックスの名前。ここで指定するインデックスは、トークンにインデックスパラメータが構成されている場合、許可されたインデックスのリストに含まれている必要があります。 |
| カスタムフィールド | フィールドキーは生データには適用されません。このキーは、インデックス時に定義される明示的なカスタムフィールドのフラット(ネストされていない)リストを含む JSON オブジェクトを指定します。fields プロパティを含むリクエストは /collector/event エンドポイントに送信されなければインデックスされません。詳細については、Splunk Enterprise: HTTP イベントコレクターを使用したインデックス化されたフィールド抽出の自動化を参照してください。 |
| 現在の訪問イベントデータを除外 | 現在の訪問データからイベントデータを除外します。 |
| 属性名を印刷 | 属性名が更新された場合、ペイロード内の名前が更新を反映します。 |
| バッチの有効期限 | バッチアクションが送信される頻度を指定するための有効期限(TTL)を構成します。1から60分の間で値を入力します。デフォルトは15分です。 |
カスタム訪問データの送信
メタデータ
| パラメータ | 説明 |
|---|---|
| Splunk リクエストチャネル | インデクサーの確認が有効になっている場合のチャネル識別子。 |
| 時間 | イベントの時間。 |
| ホスト | イベントデータに割り当てるホスト値。 |
| ソース | イベントデータに割り当てるソース値。例えば、開発中のアプリからデータを送信する場合、このキーをアプリの名前に構成します。 |
| ソースタイプ | イベントデータに割り当てるソースタイプ値。 |
| インデックス | イベントデータをインデックスするために使用されるインデックスの名前。ここで指定するインデックスは、トークンにインデックスパラメータが構成されている場合、許可されたインデックスのリストに含まれている必要があります。 |
| カスタムフィールド | フィールドキーは生データには適用されません。このキーは、インデックス時に定義される明示的なカスタムフィールドのフラット(ネストされていない)リストを含む JSON オブジェクトを指定します。fields プロパティを含むリクエストは /collector/event エンドポイントに送信されなければインデックスされません。詳細については、Splunk Enterprise: HTTP イベントコレクターを使用してインデックス化されたフィールド抽出を自動化するを参照してください。 |
メッセージデータ
| パラメータ | 説明 |
|---|---|
| カスタムメッセージ定義 | メッセージデータを構築するための値を提供します。テンプレートサポートのために、テンプレート名を参照してテンプレートからメッセージデータを生成します。テンプレートを使用する場合、カスタムメッセージ定義にマッピングします。テンプレートが使用される場合、他のキーバリューペアは無視されます。 |
| テンプレート変数 | テンプレートのデータ入力としてテンプレート変数を提供します。詳細については、コネクターテンプレート変数を参照してください。例えば、items.name のようにドット表記でネストされたテンプレート変数を名付けます。ネストされたテンプレート変数は通常、データレイヤーリスト属性から構築されます。 |
| テンプレート | メッセージデータで参照されるテンプレートを提供します。詳細については、テンプレートガイドを参照してください。 テンプレートは、サポートされるフィールドに名前で {{SomeTemplateName}} のように二重の中括弧で注入されます。 |
カスタム訪問データの送信(バッチ)
バッチ制限
このアクションは、バッチリクエストを使用してベンダーへの大量データ転送をサポートします。次のいずれかの閾値が満たされるまでリクエストがキューに入れられます:
- 最大リクエスト数:100,000
- 最古のリクエストからの最大時間:60分
- リクエストの最大サイズ:10 MB
メタデータ
| パラメータ | 説明 |
|---|---|
| Splunk リクエストチャネル | インデクサーの確認が有効になっている場合のチャネル識別子。 |
| 時間 | イベントの時間。 |
| ホスト | イベントデータに割り当てるホスト値。 |
| ソース | イベントデータに割り当てるソース値。例えば、開発中のアプリからデータを送信する場合、このキーをアプリの名前に構成します。 |
| ソースタイプ | イベントデータに割り当てるソースタイプ値。 |
| インデックス | イベントデータをインデックスするために使用されるインデックスの名前。ここで指定するインデックスは、トークンにインデックスパラメータが構成されている場合、許可されたインデックスのリストに含まれている必要があります。 |
| カスタムフィールド | フィールドキーは生データには適用されません。このキーは、インデックス時に定義される明示的なカスタムフィールドのフラット(ネストされていない)リストを含む JSON オブジェクトを指定します。fields プロパティを含むリクエストは /collector/event エンドポイントに送信されなければインデックスされません。詳細については、Splunk Enterprise: HTTP イベントコレクターを使用してインデックス化されたフィールド抽出を自動化するを参照してください。 |
メッセージデータ
| パラメータ | 説明 |
|---|---|
| カスタムメッセージ定義 | メッセージデータを構築するための値を提供します。テンプレートサポートのために、テンプレート名を参照してテンプレートからメッセージデータを生成します。テンプレートを使用する場合、カスタムメッセージ定義にマッピングします。テンプレートが使用される場合、他のキーバリューペアは無視されます。 |
| テンプレート変数 | テンプレートのデータ入力としてテンプレート変数を提供します。詳細については、コネクターテンプレート変数を参照してください。例えば、items.name のようにドット表記でネストされたテンプレート変数を名付けます。ネストされたテンプレート変数は通常、データレイヤーリスト属性から構築されます。 |
| テンプレート | メッセージデータで参照されるテンプレートを提供します。詳細については、テンプレートガイドを参照してください。 テンプレートは、サポートされるフィールドに名前で {{SomeTemplateName}} のように二重の中括弧で注入されます。 |
| バッチの有効期限 | バッチアクションが送信される頻度を指定するために有効期限(TTL)を構成します。1 から 60 分の間の値を入力します。デフォルトは 15 分です。 |
最終更新日 :: 2025年November月5日